📞+34 931 444 820  ✉️ hola@law4digital.com
 

Law4Digital

La Unión Europea publica el Reglamento de Inteligencia Artificial

Deja un comentario / Todos los artículos / Por

Tras su aprobación el pasado 21 de mayo de 2024, el Reglamento 2024/1689 del Parlamento Europeo y del Consejo, 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial), ha sido publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024. Al tratarse de la normativa de alcance más ambicioso aprobada sobre este tema hasta la fecha en el ámbito mundial, el Reglamento de Inteligencia Artificial pretende convertirse en un estándar normativo a escala global, el cual condicionará el desarrollo económico y social de los próximos años.

Tras su publicación, el 12 de julio de 2024, en el Diario Oficial de la UE, el Reglamento de IA entrará en vigor el 1 de agosto de 2024 y será aplicable de manera progresiva.

La regla general es que el Reglamento de IA será aplicable a los 24 meses desde la entrada en vigor, esto es, a partir del 2 de agosto de 2026. Sin embargo, algunas previsiones del mismo son aplicables en plazos distintos:

  • Las prohibiciones de determinadas prácticas relacionadas con la IA serán aplicables a partir del 2 de febrero de 2025.
  • Las previsiones relativas a los organismos notificados, a los sistemas de IA generales pero que implican riesgos sistémicos, al sistema de gobernanza de la IA en Europa y buena parte de las sanciones serán aplicables a partir del 2 de agosto de 2025.
  • La regulación de ciertos sistemas de IA de alto riesgo será aplicable a partir del 2 de agosto de 2027 (los que sean componentes de seguridad de ciertos productos o constituyan en sí mismos dichos productos caracterizados por requerirse una evaluación de seguridad para su comercialización o puesta en servicio tales como, máquinas, juguetes, ascensores o productos sanitarios).

El Reglamento IA aborda la inteligencia artificial desde los riesgos que puede entrañar para las personas y procura adaptar el tipo y contenido de las obligaciones de conformidad con el alcance y gravedad de los riesgos que pueda suponer. A tal efecto, el Reglamento IA adapta el tipo y contenido de sus normas a la intensidad y alcance de los riesgos que presentan los sistemas de IA sobre los que se aplica:

a. Prácticas de la IA prohibidas: El Reglamento IA considera que determinadas prácticas de IA tienen un riesgo inaceptable para la UE y, en concreto, el Reglamento de IA prohíbe las siguientes prácticas:

  • Técnicas subliminales, manipuladoras o engañosas
  • Explotación de vulnerabilidades de las personas
  • Clasificación de personas mediante puntuación ciudadana
  • Predicción de potencial criminalidad
  • Bases de datos mediante reconocimiento facial masivo
  • Inferencia de emociones en centros educativos o de trabajo
  • Categorización biométrica para inferir datos de categorías especiales
  • Identificación biométrica remota en tiempo real en lugares públicos con fines policiales

b. Sistemas IA de alto riesgo: A los sistemas IA clasificados como de alto riesgo, se les imponen obligaciones reforzadas. El Reglamento clasifica como sistema de IA de alto riesgo:

  • Productos regulados (aquellos que estén destinados a utilizarse como componente de seguridad en determinados productos regulados o el propio sistema de IA sea un producto regulado tal y como se identifican en el Anexo I del Reglamento IA).
  • Ámbitos de especial relevancia o sensibles (aquellos identificados como de especial relevancia o sensibles en el Anexo III del Reglamento IA, que incluye determinados usos de IA en ámbitos tales como la biometría, centros educativos o laborales, servicios financieros, infraestructuras críticas, acceso a servicios esenciales, etc).

El Reglamento IA establece los siguientes requisitos para los sistemas de IA considerados de alto riesgo:

  • Establecimiento de un sistema de gestión de riesgos para la identificación y análisis de los riesgos conocidos y razonablemente previsibles, así como para la adopción de medidas adecuadas frente a tales riesgos.
  • Sujeción a prácticas de gobernanza y gestión de datos que incluyan prácticas adecuadas para la finalidad prevista en relación con los conjuntos de datos de entrenamiento, validación y prueba.
  • Elaboración de documentación técnica antes de su introducción en el mercado o puesta en servicio, debiéndose mantener actualizada y elaborada de forma que demuestre que el sistema de IA cumple con los requisitos exigidos por el Reglamento IA.
  • Conservación de registros con medidas que permitan técnicamente el registro automático de eventos (archivos de registros) a lo largo de toda la vida del sistema de IA.
  • Comunicación de información a los responsables del despliegue de forma transparente para que los responsables del despliegue puedan utilizar e interpretar correctamente la información de salida del sistema de IA.
  • Inclusión de vigilancia humana con el fin de prevenir o reducir riesgos que puedan surgir en el uso del sistema de IA, dotando al sistema de IA de herramientas de interfaz humano-máquina adecuadas.
  • Desarrollo con niveles adecuados de precisión, solidez y ciberseguridad y que funcionen de manera uniforme en estos sentidos a lo largo de todo su ciclo de vida (p. ej., mediante el establecimiento de meditas técnicas y organizativas frente a errores, fallos, sesgos o violaciones de seguridad).

c. Determinados sistemas IA: El Reglamento IA establece también obligaciones de transparencia para los proveedores y responsables del despliegue de determinados sistemas de IA, que han de cumplirse en la primera interacción o exposición:

  • Sistemas de IA destinados a interactuar con personas (p. ej., chatbots o asistentes virtuales): Los proveedores y responsables del despliegue deben garantizar que las personas expuestas al uso del sistema de IA estén informadas de que están interactuando con un sistema de IA, salvo que ello sea evidente teniendo en cuenta las circunstancias y el contexto de utilización.
  • Sistemas de IA que generen contenido sintético de audio, vídeo o texto: Los proveedores deben velar por que los resultados de salida estén marcados en un formato legible por máquina y sea posible detectar que han sido generados o manipulados artificialmente.
  • Sistemas de IA que generen contenido sintético de audio, vídeo o texto: Los responsables del despliegue deben hacer público que un contenido que constituya una ultra falsificación ha sido generado o manipulado artificialmente.

d. Modelos de IA de uso general: Un modelo de IA de uso general se clasificará como modelo de IA de uso general con riesgo sistémico si tiene capacidades de gran impacto o si tiene capacidades determinadas. Se presumirá que el sistema de IA tiene capacidades de gran impacto cuando acumule determinada cantidad de cálculo utilizada para su entrenamiento (en concreto, cuando la cantidad acumulada de cálculo medida en operaciones de coma flotante sea superior a 10^25).

Se establecen diversas obligaciones de los proveedores de modelos de IA de uso general:

  • elaborar y mantener actualizada la documentación técnica del modelo de IA de uso general exigida por el Reglamento IA;
  • poner a disposición de los proveedores información de los sistemas de IA que tengan intención de integrar en un modelo de IA de uso general;
  • evaluar los modelos de conformidad con protocolos y herramientas que reflejen el estado de la técnica y evaluar y reducir los posibles riesgos sistémicos que puedan derivarse del desarrollo;
  • vigilar, documentar y comunicar a la Oficina de IA o a las autoridades nacionales competentes la información sobre incidentes graves y velar por que se establezca un nivel adecuado de protección de la ciberseguridad

Finalmente, para asegurar la eficacia y cumplimiento de las obligaciones contenidas en el Reglamento de IA, se establece la potestad de los Estados miembros de crear una o más entidades encargadas de supervisión.

En España, se ha constituido la Agencia Española de Supervisión de Inteligencia Artificial, que será la principal autoridad supervisora a nivel nacional y cuenta con potestad sancionadora. En este sentido, debe destacarse que el Reglamento de IA establece un régimen sancionador severo, con multas, en los casos más graves, de hasta los 35 millones de euros o el 7% del volumen de negocios total anual a nivel mundial, si esta cantidad fuera mayor.

En virtud de lo anterior, las empresas deberían empezar a analizar el impacto que la referida normativa tiene en los sistemas de IA ya implementados o en fase de implementación debido a la complejidad de las obligaciones y demás previsiones contenidas en la misma.

La presente publicación no constituye asesoramiento jurídico. 

_____ 

¿Cómo podemos ayudarte desde LAW4DIGITAL? 

En LAW4DIGITAL somos abogados especializados en negocios digitales. Prestamos asesoramiento legal integral a empresas digitales. Te ayudamos con asesoramiento legal online. 

Os iremos actualizando sobre negocios digitales. En todo caso, podéis contactarnos mediante correo dirigido a hola@law4digital.com, llamando al (+34) 931 444 820 o rellenando nuestro formulario en law4digital.com. 

¡Os esperamos en el próximo post! 

Equipo de Law4Digital. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Linkedin Twitter

© 2024 ® LAW4DIGITAL

¡Suscríbete a nuestra Newsletter!